NAT de origem

NAT de origem é a tradução do endereço IP de origem de um pacote que deixa o dispositivo da Juniper Networks. O NAT de origem é usado para permitir que hosts com endereços IP privados acessem uma rede pública.

O NAT de origem permite que conexões sejam iniciadas apenas para conexões de rede de saída — por exemplo, de uma rede privada à Internet. O NAT de origem é comumente usado para realizar as seguintes tradução:

• Traduza um único endereço IP para outro endereço (por exemplo, para fornecer um único dispositivo em uma rede privada com acesso à Internet).

• Traduza um bloco contíguo de endereços para outro bloco de endereços do mesmo tamanho.

• Traduza um bloco contíguo de endereços para outro bloco de endereços de menor tamanho.

• Traduza um bloco contíguo de endereços para um único endereço IP ou um bloco menor de endereços usando a tradução de portas.

• Traduza um bloco contíguo de endereços para o endereço da interface de saída.

A tradução para o endereço da interface de saída não requer um pool de endereços; todas as outras tradução de NAT de origem exigem a configuração de um pool de endereços. Tradução única para um e muitas para muitas para blocos de endereços do mesmo tamanho não exigem tradução de portas porque há um endereço disponível no pool para cada endereço que seria traduzido.

Se o tamanho do pool de endereços for menor do que o número de endereços que seriam traduzidos, o número total de endereços simultânticos que podem ser traduzidos é limitado pelo tamanho do pool de endereços ou pela tradução da porta deve ser usado. Por exemplo, se um bloco de 253 endereços for traduzido para um pool de endereços de 10 endereços, um máximo de 10 dispositivos podem ser conectados simultaneamente, a menos que a tradução de porta seja usada.

Os seguintes tipos de NAT de origem são suportados:

• Tradução do endereço IP de origem original para o endereço IP da interface de saída (também chamado de NAT de interface). A tradução do endereço de porta é sempre realizada.

• Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereço definido pelo usuário sem tradução de endereço de porta. A associação entre o endereço IP de origem original ao endereço IP de origem traduzido é dinâmica. No entanto, uma vez que haja uma associação, a mesma associação é usada para o mesmo endereço IP de origem original para tráfego novo que corresponde à mesma regra nat.

• Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereços definido pelo usuário com tradução de endereço de porta. A associação entre o endereço IP de origem original ao endereço IP de origem traduzido é dinâmica. Mesmo que exista uma associação, o mesmo endereço IP de origem original pode ser traduzido para um endereço diferente para um novo tráfego que corresponda à mesma regra de NAT.

• Tradução do endereço IP de origem original para um endereço IP a partir de um pool de endereços definido pelo usuário, deslocando os endereços IP. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta. Se a faixa de endereço IP de origem original for maior do que a faixa de endereço IP no pool definido pelo usuário, os pacotes não traduzidos serão descartados.

No dispositivo da Série MX, se você usar o NAT de origem em uma interface agregada de multisserviços (AMS). O service set comando cria uma entrada separada para cada interface AMS. Assim, a utilização da memória se esgota e se você configurar uma interface AMS adicional resulta em erro de confirmação de configuração.

• A arquitetura de ponto central não suporta mais sessões de ponto central. Portanto, o NAT precisa manter um rastreador de NAT para rastrear o endereço IP ou a alocação e o uso da porta. NAT é um array global para ID de sessão de SPU para IP NAT ou mapeamento de porta que é usado para gerenciar recursos de NAT.

• Por padrão, uma mensagem de contra-atualização de estatísticas de regras de NAT é enviada da Unidade de Processamento de Serviços (SPU) para o ponto central em intervalos de 1 segundo, em vez de atualizar as estatísticas com base em cada gatilho de sessão no sistema central de pontos.

• Para oferecer suporte a um endereço IP ou porta NAT específico alocado de modo que o hash de 5 tuple após o NAT seja o mesmo que o hash original de 5 tuple antes do NAT, selecione uma porta NAT que resulte no mesmo hash que o hash original pelo cálculo específico. Dessa forma, a sessão de encaminhamento é reduzida. Quando o NAT é usado, a asa reversa é hashed para uma SPU diferente. Uma sessão avançada precisa ser instalada para encaminhar o tráfego reverso para uma SPU de sessão. O NAT tenta selecionar uma porta que pode ser usada pelo algoritmo de hash para fazer com que a ala inversa seja hashed para a mesma SPU que a asa inicial. Assim, tanto o desempenho de NAT quanto a taxa de transferência são melhorados com essa abordagem.

• Para melhorar o desempenho do NAT, o gerenciamento do pool de mudança de IP (não-PAT pool) é transferido do ponto central para a SPU para que todos os recursos de NAT locais para esse pool sejam gerenciados localmente em vez de enviar a solicitação de NAT para o ponto central. Dessa forma, as conexões de pool de NAT com mudança de endereço IP por segundo e taxa de transferência são melhoradas.

O modo de estouro de transbordamento de porta permite que você use as portas além dos blocos de porta alocados. Você pode configurar um pool de rajadas com uma variedade de portas em um endereço IP a ser reservado para o estouro.

Existem tipos de pool primários e de explosão, o dispositivo usa o pool de rajadas assim que os assinantes atingem o limite configurado no pool primário.

O modo Brust é compatível com:

1. Grupo nat de origem determinística com pool de explosão do tipo PBA.

2. Grupo nat de origem determinística com pool de estouro dinâmico de porta de endereço de rede (NAPT).

3. Grupo DE NAT de origem PBA regular com pool de explosão do tipo PBA.

4. Grupo DE NAT de origem PBA regular com pool de explosão dinâmica de tipo NAPT.

Método de tipo de explosão PBA — o PBA oferece suporte a aplicativos e modos de operações não-APP.

• Modo APP — as portas são alocadas do pool principal. Quando o limite de assinante excede o pool primário, se houver alguma porta disponível para o mesmo endereço IP do pool de estouro, novas sessões serão criadas.

• modo não APP — as portas são alocadas do pool principal. Quando o limite de assinante excede o pool primário, novas sessões são criadas a partir do pool de estouro com qualquer endereço IP e porta disponíveis.

Método de tipo de explosão de DetNAT — as portas são alocadas do pool principal. Se o mesmo endereço IP do pool de explosão ou todas as portas disponíveis não estiverem disponíveis no mesmo endereço IP, então novas sessões serão criadas com outro endereço IP. Se o pool de rajadas estiver configurado com um IP diferente do pool primário, use outro IP do pool de rajadas.

• Modo de randomização de portas (padrão)
• Modo Round-Robin
• Modo de afinidade de sessão

• Propósito
• Ação

Este exemplo descreve como configurar um mapeamento NAT de origem de endereços privados para o endereço público de uma interface de saída.

Este exemplo descreve como configurar um mapeamento NAT de origem de um único endereço privado em um endereço público.

Este exemplo descreve como configurar mapeamentos NAT de origem e destino.

As regras de NAT de origem especificam duas camadas de condições de correspondência:

• Direção de tráfego — permite que você especifique combinações defrom interface, ou, ou .from routing-instance to routing-instanceto interfaceto zonefrom zone Você não pode configurar os mesmos from e to contextos para diferentes conjuntos de regras.

• Informações sobre pacotes — podem ser endereços ou sub-redes IP de origem e destino, números de porta de origem ou faixas de porta, números de portas de destino ou intervalos de portas, protocolos ou aplicativos.

Para todo o tráfego ALG, exceto FTP, recomendamos que você não use a opção source-port de regra. A criação de sessão de dados pode falhar se essa opção for usada porque o endereço IP e o valor da porta de origem, que é um valor aleatório, podem não corresponder à regra.

Além disso, recomendamos que você não use a opção destination-port ou a opção application como condições de correspondência para o tráfego ALG. Se essas opções forem usadas, a tradução pode falhar porque o valor de porta na carga do aplicativo pode não corresponder ao valor de porta no endereço IP.

Se várias regras de NAT de origem se sobreporem às condições de correspondência, a regra mais específica será escolhida. Por exemplo, se as regras A e B especificarem os mesmos endereços IP de origem e destino, mas a regra A especifica o tráfego da zona 1 à zona 2 e a regra B especifica o tráfego da zona 1 para a interface ge-0/0/0, a regra B é usada para executar NAT de origem. Uma correspondência de interface é considerada mais específica do que uma correspondência de zona, que é mais específica do que uma instância de roteamento.

As ações que você pode especificar para uma regra de NAT de origem são:

• desativado — Não execute NAT de origem.

• pool — Use o pool de endereços definido pelo usuário especificado para realizar o NAT de origem.

• interface — Use o endereço IP da interface de saída para realizar o NAT de origem.

As regras de NAT de origem são aplicadas ao tráfego no primeiro pacote que é processado para o fluxo ou no caminho rápido para o ALG. As regras de NAT de origem são processadas após regras de NAT estáticas, regras de NAT de destino e mapeamento reverso de regras de NAT estáticas e após a busca de políticas de rota e segurança.

Quando as zonas não estão configuradas sob o conjunto de regras e quando o NAT de origem ativa é configurado com a declaração obrigatória ausente "de" então, a mensagem a seguir é exibida ao realizar o commit "Declaração obrigatória ausente: erro "a partir": falha na verificação da configuração" e o check-out da configuração falha.

Este exemplo descreve como configurar mapeamentos NAT de origem com várias regras.

Um pool de NAT é um conjunto definido pelo usuário de endereços IP que são usados para tradução. Ao contrário do NAT estático, onde há um mapeamento de um para um que inclui a tradução de endereço IP de destino em uma direção e a tradução de endereço IP de origem na direção inversa, com NAT de origem, você traduz o endereço IP de origem original para um endereço IP no pool de endereços.

Para pools de endereços de tradução de endereços de rede (NAT), especifique o seguinte:

• Nome do pool de endereços NAT de origem.

• Até 64 faixas de endereço.

  Nota:

  Não se sobreponha aos endereços NAT de origem, NAT de destino e NAT estático em uma única instância de roteamento.

• Instância de roteamento — instância de roteamento à qual o pool pertence (o padrão é a instância principal de roteamento inet.0 ).

• Porta — A tradução de endereços de porta (PAT) para um pool de origem. Por padrão, o PAT é executado com NAT de origem. Se você especificar a opção de não tradução , o número de hosts que o grupo NAT de origem pode suportar é limitado ao número de endereços no pool. Se você especificar block-allocation, um bloco de portas é alocado para tradução, em vez de portas individuais serem alocadas. Se você especificar deterministic, um endereço IP de entrada (fonte) e uma porta sempre mapeiem o endereço de destino específico e o bloco de porta, com base em algoritmo DE NAT predefinido e determinístico. Se você especificar port-overloading, você pode configurar a capacidade de sobrecarga de porta no NAT de origem. Se você especificar range, você pode fornecer a faixa de número de porta anexada a cada endereço na piscina e a faixa de porta dupla para grupos NAT de origem.

• Pool de transbordamento (opcional)— os pacotes são descartados se não houver endereços disponíveis no grupo NAT de origem designado. Para evitar que isso aconteça quando a opção de não tradução estiver configurada, você pode especificar um pool de transbordamento. Assim que os endereços do grupo NAT de origem original forem esgotados, os endereços IP e os números de porta são alocados no pool de transbordamento. Um pool de NAT de origem definida pelo usuário ou uma interface de saída podem ser usados como o pool de transbordamento. (Quando o pool de transbordamento é usado, a ID da piscina é devolvida com o endereço.)

• Mudança de endereço IP (opcional)— Uma variedade de endereços IP de origem original pode ser mapeada para outra variedade de endereços IP, ou para um único endereço IP, deslocando os endereços IP. Especifique a opção de base de endereço de host com o endereço base da faixa de endereço IP de origem original.

• Compartilhamento de endereços (opcional)— Vários endereços IP internos podem ser mapeados no mesmo endereço IP externo. Essa opção só pode ser usada quando o pool de NAT de origem estiver configurado sem tradução de porta. Especifique a opção address-shared quando um pool de NAT de origem tiver poucos endereços IP externos disponíveis, ou apenas um endereço IP externo. Com um mapeamento de muitos para um, o uso dessa opção aumenta os recursos de NAT e melhora o tráfego.

• Agrupamento de endereços (opcional)— O agrupamento de endereços pode ser configurado como pareado ou sem pareamento. Especifique para aplicativos que exijam address-pooling paired que todas as sessões associadas a um endereço IP interno sejam mapeadas no mesmo endereço IP externo durante a sessão. Isso difere da opção persistent-address , na qual o mesmo endereço interno é traduzido para o mesmo endereço externo todas as vezes. Especifique address-pooling no-paired para aplicativos que podem ser atribuídos endereços IP de forma completa. Se estiver address-pooling paired configurada ou address-pooling no-paired configurada para um pool de NAT de origem com PAT, a opção de endereço persistente será desativada. Se address-shared estiver configurado em um pool de NAT de origem sem PAT, a opção persistent-address será ativada. Ambos address-shared e address-pooling paired podem ser configurados no mesmo pool de NAT de origem sem PAT.

• Alarme de utilização de pool (opcional)— Quando a opção de limite de aumento é configurada para NAT de origem, uma armadilha SNMP é acionada se a utilização do pool de NAT de origem estiver acima desse limiar. Se a opção de limite claro opcional estiver configurada, uma armadilha SNMP será acionada se a utilização do pool de NAT de origem cair abaixo desse limiar. Se o limite claro não estiver configurado, ele é definido por padrão para 80% do valor de limite de elevação .

Você pode usar o comando de pool de fonte de uso de recursos nat de segurança para visualizar o uso do endereço em um grupo NAT de origem sem PAT, e visualizar o uso da porta em um pool de NAT de origem com PAT.

As capacidades máximas para pools de origem e endereços IP em dispositivos de SRX1400, SRX1500, SRX3400, SRX3600, SRX4100, SRX4200, SRX5400, SRX5600 e SRX5800 são as seguintes:

Aumentar o número total de endereços IP usados para NAT de origem, seja aumentando o número de pools na configuração e/ou aumentando a capacidade ou endereços IP por pool, consome a memória necessária para a alocação de portas. Quando o pool de NAT de origem e os limites de endereço IP são alcançados, as faixas de porta devem ser reatribuídas. Ou seja, o número de portas para cada endereço IP deve ser reduzido quando o número de endereços IP e grupos de NAT de origem for aumentado. Isso garante que o NAT não consuma muita memória.

Por exemplo, em um pool de NAT de origem para dispositivos SRX5000, quando o número de endereços IP com suporte à tradução de porta atinge o limite de 1M, o número total de portas PAT é de 64G, o que excede a limitação de 384M. Isso porque, por padrão, cada endereço IP oferece suporte a 64.512 portas. Para garantir que os números das portas PAT estejam dentro da capacidade, a faixa de porta para cada IP precisa ser configurada para diminuir o número total de portas PAT.

Use o e range twin-port as range opções no nível de [edit security nat source pool port] hierarquia para atribuir uma nova faixa de porta ou faixa de porta dupla para um pool específico. Use o pool-default-port-range e as pool-default-twin-port-range opções no nível de [edit security nat source] hierarquia para especificar a faixa de porta padrão global ou o intervalo de portas gêmeas para todos os grupos NAT de origem.

A configuração da sobrecarga da porta também deve ser feita com cuidado quando os pools de NAT de origem são aumentados.

Para um pool de origem com PAT no intervalo (63.488 a 65.535), duas portas são alocadas de uma só vez para aplicativos RTP/RTCP, como SIP, H.323 e RTSP. Nesses cenários, cada endereço IP oferece suporte ao PAT, ocupando 2048 portas (63.488 a 65.535) para uso de módulos ALG.

Por padrão, a tradução do endereço de porta é realizada com NAT de origem. No entanto, um endereço de origem original pode não ser traduzido para o mesmo endereço IP para tráfego diferente que se origina do mesmo host. A opção NAT address-persistent de origem garante que o mesmo endereço IP seja atribuído do grupo NAT de origem a um host específico para várias sessões simultâneas.

Essa opção difere da opção pareada de agrupamento de endereços, na qual o endereço interno é mapeado em um endereço externo dentro do pool por únte, por 1 a 0, e pode ser mapeado em um endereço externo diferente para cada sessão.

Este exemplo descreve como configurar a capacidade dos grupos NAT de origem com a tradução de endereços de porta (PAT) se uma faixa de porta padrão não estiver definida ou se você quiser substituí-la. As tradução são definidas para cada endereço IP. Quando o pool de origem é aumentado, as portas devem ser reatribuídas se o número de porta atual exceder as limitações.

Quando um host inicia várias sessões que correspondem a uma política que exige NAT, e recebe um endereço IP de um pool de origem que tem a tradução de endereço de porta habilitada, um endereço IP de origem diferente é usado para cada sessão.

Como alguns aplicativos exigem o mesmo endereço IP de origem para cada sessão, você pode usar o address-pooling paired recurso para permitir que todas as sessões associadas a um endereço IP interno mapeiem o mesmo endereço IP externo durante as sessões. Quando as sessões terminam, o mapeamento entre o endereço IP interno e o endereço IP externo termina. Da próxima vez que o host iniciar uma sessão, um endereço IP diferente do pool pode ser atribuído a ele.

Isso difere do recurso NAT address-persistent de origem, que mantém o mapeamento estático; o mesmo endereço IP interno é mapeado no mesmo endereço IP externo todas as vezes. Ele também difere do address-persistent recurso em que address-pooling paired está configurado para um pool específico. O address-persistent recurso é uma configuração global que se aplica a todos os pools de origem.

As condições de correspondência para um conjunto de regras de NAT de origem não permitem que você especifique um intervalo de endereços; apenas prefixos de endereço podem ser especificados em uma regra. Ao configurar um pool de NAT de origem, você pode especificar a opção; esta opção host-base-address especifica o endereço IP onde começa a faixa de endereço IP de origem original.

A gama de endereços IP de origem original que são traduzidos é determinada pelo número de endereços no pool de NAT de origem. Por exemplo, se o grupo NAT de origem contém uma variedade de dez endereços IP, até dez endereços IP de origem original podem ser traduzidos, começando por um endereço base especificado. Esse tipo de tradução é de um para um, estático e sem tradução de endereço de porta.

A condição de correspondência em uma regra NAT de origem pode definir uma faixa de endereço maior do que a especificada no grupo NAT de origem. Por exemplo, uma condição de correspondência pode especificar um prefixo de endereço que contém 256 endereços, mas o pool NAT de origem pode conter uma gama de apenas alguns endereços IP, ou apenas um endereço IP. O endereço IP de origem de um pacote pode corresponder a uma regra NAT de origem, mas se o endereço IP de origem não estiver dentro da faixa de endereço especificada no grupo NAT de origem, o endereço IP de origem não será traduzido.

Este exemplo descreve como configurar um mapeamento NAT de origem de uma faixa de endereço privado para endereços públicos, com mudança de endereço opcional. Este mapeamento é um a um entre os endereços IP de origem originais e endereços IP traduzidos.

Usando o pool de origem com o Port Address Translation (PAT), o Junos OS traduz tanto o endereço IP de origem quanto o número de porta dos pacotes. Quando o PAT é usado, vários hosts podem compartilhar o mesmo endereço IP.

O Junos OS mantém uma lista de números de porta atribuídos para distinguir qual sessão pertence a qual host. Quando o PAT está habilitado, até 63.488 hosts podem compartilhar um único endereço IP. Cada pool de origem pode conter vários endereços IP, várias faixas de endereço IP ou ambos. Para um pool de origem com PAT, o Junos OS pode atribuir endereços diferentes a um único host para diferentes sessões simultâneas, a menos que o pool de origem ou o Junos OS tenha o recurso de endereço persistente ou o recurso de agrupamento de endereços em pares habilitado.

Para pool de origem de interface e pool de origem com PAT, o intervalo (1024, 65535) está disponível para mapeamento de números de porta por endereço IP. Dentro do intervalo (1024, 63487) uma porta é alocada de cada vez, para um total de 62.464 portas. No intervalo (63488, 65535), duas portas são alocadas por vez para aplicativos RTP/RTCP, como SIP, H.323 e RTSP, para um total de 2.048 portas.

Quando um host inicia várias sessões que correspondem a uma política que exige a tradução de endereços de rede e recebe um endereço de um pool de origem que tem o PAT habilitado, o dispositivo atribui um endereço IP de origem diferente para cada sessão. Essa atribuição aleatória de endereços pode ser problemática para serviços que criam várias sessões que exigem o mesmo endereço IP de origem para cada sessão. Por exemplo, é importante ter o mesmo endereço IP para várias sessões ao usar o cliente AOL Instant Message (AIM).

Para garantir que o roteador atribua o mesmo endereço IP de um pool de origem a um host para várias sessões simultâneas, você pode habilitar um endereço IP persistente por roteador. Para garantir que o dispositivo atribua o mesmo endereço IP de um pool de origem a um host durante uma única sessão, você pode habilitar o agrupamento de endereços em pares.

Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereço público menor usando a tradução de endereços de porta.

Quando você define um pool de origem, o Junos OS permite o PAT por padrão. Para desativar o PAT, você não deve especificar nenhuma tradução de porta quando estiver definindo um pool de origem.

Ao usar um pool de origem sem PAT, o Junos OS realiza a tradução de endereços de rede de origem para o endereço IP sem realizar o PAT para o número da porta de origem. Para aplicativos que exijam que um determinado número de porta de origem permaneça fixo, você deve usar o pool de origem sem PAT.

O pool de origem pode conter vários endereços IP, várias faixas de endereço IP ou ambos. Para pool de origem sem PAT, o Junos OS atribui um endereço de origem traduzido ao mesmo host para todas as suas sessões simultâneas, a menos que a opção de agrupamento de endereços sem pareamento esteja habilitada.

O número de hosts que um grupo NAT de origem sem PAT pode suportar é limitado ao número de endereços no pool. Quando você tem um pool com um único endereço IP, apenas um host pode ser suportado, e o tráfego de outros hosts é bloqueado porque não há recursos disponíveis. Se um único endereço IP estiver configurado para um pool de NAT de origem sem PAT quando a atribuição de recursos nat não estiver no modo de backup ativo em um cluster de chassi, o tráfego através do nó 1 será bloqueado.

A utilização do pool para cada pool de origem sem PAT é computada. Você pode ativar o alarme de utilização do pool configurando limiares de alarme. Uma armadilha SNMP é acionada cada vez que a utilização do pool sobe acima de um limiar e fica abaixo de um limiar.

Este exemplo descreve como configurar um bloco de endereço privado para um único endereço público em um pool de NAT de origem sem tradução de endereços de porta.

Este exemplo descreve como configurar um mapeamento NAT de origem de um bloco de endereço privado para um bloco de endereços públicos menor sem tradução de endereços de porta.

Os grupos de NAT de origem sem tradução de endereço de porta executam mapeamentos estáticos, de um a um endereço IP de origem a um endereço IP externo. Quando há apenas um endereço IP externo, ou muito poucos disponíveis em um pool não-pat de origem, a opção address-shared permite que você mapeie muitos endereços IP de origem para um endereço IP externo, desde que o tráfego venha de diferentes portas de origem.

Por exemplo, se houver um pool NAT de origem sem tradução de porta contendo apenas dois endereços IP, IP 1 e IP 2, quando um pacote chega de

1. IP 1 de origem, porta 1, é traduzido para IP 1, porta 1.

2. IP 2 de origem, porta 2, é traduzido para IP 2, porta 2.

3. IP 3 de origem, porta 1, é traduzido para IP 2, porta 1. (Ela não pode ser traduzida para a porta IP 1 1 porque essa porta já está sendo usada.

   No entanto, se outro pacote chegar do IP 3 de origem, porta 1 para um IP e porta de destino diferente, ele não pode ser traduzido para IP 1, porta 1 ou IP 2, porta 1 porque a porta 1 já é usada para ambos os endereços IP disponíveis. A sessão falhará.

Essa opção aumenta os recursos de NAT e melhora a possibilidade de configurar um tráfego traduzido bem-sucedido. Ele não pode ser usado em grupos de NAT de origem com a tradução de endereços de porta porque o compartilhamento de endereços já é seu comportamento padrão.

A persistência da sessão de tradução de endereços de rede (NAT) fornece um meio de reter as sessões existentes, em vez de liberá-las, quando houver alterações na configuração de NAT. Se a persistência da sessão for habilitada, as sessões retidas continuarão a processar e encaminhar pacotes conforme o tempo e os recursos são usados de forma ideal para reconstruir as sessões impactadas. Assim, o encaminhamento de pacotes não para mesmo se a configuração de NAT for alterada para algumas ou todas as sessões.

A partir do Junos OS Release 18.3R1 em diante, com o suporte para a persistência da sessão de NAT, o Mecanismo de encaminhamento de pacotes analisa as sessões e decide se mantém as sessões ou libera as sessões. Em versões antes do Junos OS Release 18.3R1, as sessões de NAT são liberadas se houver uma mudança na configuração do NAT.

O Mecanismo de encaminhamento de pacotes realiza os seguintes dois tipos de exames para decidir se mantém ou derruba sessões:

• Source NAT pool session persistence scan— O Mecanismo de encaminhamento de pacotes compara o endereço IP de sessão existente com a faixa de endereço do pool de origem. Se o endereço IP da sessão existente estiver na faixa de endereço do pool de origem especificada, a sessão será mantida viva, caso contrário, a sessão será liberada.

• Source NAT rule session persistence scan— O Mecanismo de encaminhamento de pacotes usa a ID de regra para comparar o endereço IP de origem, a porta de origem, o endereço IP de destino e a porta de destino entre as configurações antigas e novas. Se as configurações novas e antigas forem as mesmas, então a sessão será mantida viva, caso contrário, a sessão será liberada.

A persistência da sessão de NAT é suportada apenas para NAT de origem nos seguintes cenários:

• Pool de origem — Alterar em uma faixa de endereço em um pool de tradução de endereços de porta (PAT).

• Regra de origem — Alterar as condições de correspondência para o livro de endereços, aplicativo, endereço IP de destino, porta de destino, endereço IP de origem e informações de porta de destino.

Para permitir a verificação da persistência da sessão de NAT, inclua a session-persistence-scan declaração no nível de [edit security nat source] hierarquia.

Você também pode configurar um valor de tempo limite para reter as sessões pelo período de tempo especificado usando o set security nat source session-drop-hold-down comando CLI. O valor da opção session-drop-hold-down varia de 30 a 28.800 segundos (oito horas). A sessão expira após o período de intervalo configurado.

A configuração de tradução de endereços de rede (NAT) muitas vezes muda para acomodar mais usuários e melhorar a rota mais curta para transferir o tráfego. Se houver uma mudança na interface de saída por causa do redirecionamento do tráfego, você pode usar o set security flow enable-reroute-uniform-link-check nat comando para manter a configuração e a regra de NAT existentes.

Quando o enable-reroute-uniform-link-check nat comando estiver habilitado:

• A sessão é mantida com a regra NAT existente, se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança, e não houver mudança na regra de NAT combinada ou se nenhuma regra for aplicada antes e depois do redirecionamento.

• A sessão expira se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança e a regra NAT combinada for alterada.

Quando o enable-reroute-uniform-link-check nat comando é desativado:

• O tráfego é encaminhado para a nova interface de saída se a nova interface de saída e a interface de saída anterior estiverem na mesma zona de segurança.

Configuration

Para habilitar a configuração de NAT para uma sessão existente quando houver uma mudança na interface de saída por causa do redirecionamento, use o seguinte comando:

[edit] user@host# set security flow enable-reroute-uniform-link-check natA nova configuração é aplicada quando você confirma as mudanças de configuração.

A enable-reroute-uniform-link-check nat command rede é desabilitada por padrão.

Limitations

Manter a configuração de NAT usando o set security flow enable-reroute-uniform-link-check nat comando tem as seguintes limitações:

• A sincronização do TCP não permite que a nova sessão transfira o tráfego. Você deve desativar a sincronização de TCP para permitir a transferência de tráfego em novas sessões.

• As informações do pacote podem ser perdidas se o redirecionamento for iniciado após um aperto de mão de três vias para inicializar a comunicação. Você deve desabilitar a estrutura de serviços do Junos OS (JSF), como o Application Layer Gateway (ALG) para permitir a transferência de tráfego em novas sessões.